ช่วงที่ผ่านมา ยังคงมีคำถามถึงทีมงาน และตัวซีเองเกี่ยวกับข่าวของช่องโหว่ระบบเข้ารหัส OpenSSL บนเซิร์ฟเวอร์ หรือที่เรียกว่า Heartbleed ที่หลายคนน่าจะคุ้นตาภาพหัวใจสีแดงมีเลือดไหลเยิ้มที่ว่อนไปทั่วเน็ต

heartbleed-openssl-bug

พอบอกว่า เป็นช่องโหว่ หรือข้อผิดพลาดของการทำงานบนฝั่งเซิร์ฟเวอร์ ผู้ใช้บางท่านที่อาจจะไม่เข้าใจ ออกอาการโล่งอก เพราะคิดว่ามันไม่ใช่ช่องโหว่บนวินโดวส์ หรือแมคตลอดจนซอฟต์แวร์ที่ใช้อยู่ – -” ซึ่งเป็นความเข้าใจผิดอย่างรุนแรง โดยเฉพาะผู้ใช้ที่เป็นนักชอปออนไลน์ที่ชอบสั่งซื้อสินค้า ตลอดจนชำระค่าบริการ รวมถึงธุรกรรมอื่นๆ ผ่านทางอินเทอร์เน็ต เพราะนั่นหมายถึง คุณอาจจะกำลังเชื่อมต่อกับเซิร์ฟเวอร์ที่มีอาการ Heartbleed หรือมีช่องโหว่ระบบรักษาความปลอดภัยในการเข้ารหัสข้อมูลด้วย OpenSSL อยู่ก็ได้ และนี่คือประเด็นที่หลายคนเป็นห่วง เพราะข้อมูลส่วนบุคคล ตลอดจนหมายเลขบัตรเครดิต หรือแม้แต่บัญชีธนาคารของคุณที่อยู่บนเซิร์ฟเวอร์เหล่านี้ กำลังจะถูกเจาะออกไปได้โดยแฮคเกอร์ แม้คอมพ์ของเพื่อนๆ จะปลอดภัยไร้ไวรัส มัลแวร์ สปายแวร์ แอดแวร์ ฯลฯ ก็ตาม – -” ถึงตรงนี้เรามาทำความเข้าใจกันให้ลึกซึ้งอีกสักนิดก็แล้วกันค่ะ

ปกติเวลาที่เราเข้าไปช้อปปิ้งออนไลน์บนเว็บไซต์ยอดนิยมอย่างเช่น Amazon หรือการเข้าไปทำธุรกรรมออนไลน์กับทางอีแบงกิ้งต่างๆ ตอนที่เข้าสู่ขั้นตอนการสั่งซื้อ คอมพิวเตอร์ของเรากับเซิร์ฟเวอร์ปลายทางจะมีการเข้ารหัสข้อมูล (ทำให้ข้อความต่างๆ ที่สื่อสารระหว่างกันอ่านไม่เข้าใจ ใครเอาไปก็อ่านไม่รู้เรื่อง เอาไปทำอะไรไม่ได้) ด้วย OpenSSL (เทคโนโลยีเข้ารหัสที่เป็นโอเพ่นซอร์ส) จุดสังเกตที่ทำให้ผู้ใช้หลายคนวางใจเวลาช้อปออนไลน์ก็คือ เราจะเห็นไอคอนรูปแม่กุญแจ”ล็อค” บนบราวเซอร์ (ส่วนใหญ่จะอยู่ใกล้ๆ ช่องพิมพ์แอดเดรสของเว็บไซต์ สีเขียว – chrome สีเหลือง – IE บ้าง แล้วแต่บราวเซอร์ที่ใช้ค่ะ) พร้อมกับโพรโตคอลสื่อสาร https ปรากฎอยู่ในช่องป้อนแอดเดรสของเว็บไซต์ ซึ่งแสดงว่า ข้อมูลของเรา (username, password, credit card, etc.) ได้รับการเข้ารหัสระหว่างการเดินทางไปยังเซิร์ฟเวอร์อย่างปลอดภัยแล้ว เย้!!! ทุกอย่างเป็นปกติดีเรื่อยมาจนกระทั่งเมื่อช่วงต้นเดือนเมษายน ที่ Google และบริษัทวิจัยในฟินแลนด์ (ประชาชนมีความสุข เพราะ”ฟิน”กันทั้งเมือง ><“) ชื่อว่า  Codenomicon เปิดเผย่วา พบข้อผิดพลาดในเทคโนโลยี OpenSSL แต่ข้อเท็จจริงที่น่าสะพรึงยิ่งกว่าก็คือ ช่องโหว่นี้มันมีมาตั้งแต่เดือนมีนาคม 2012 แล้ว

heartbleed-openssl-bug-2

แล้วมันส่งผลกระทบอะไรกับเรา ก็มันทำหน้าที่เข้ารหัสข้อมูลจากเราไปส่งมอบให้เซิร์ฟเว่อร์อย่างปลอดภัย ก็จบแล้วนี่นา อันนี้ต้องบอกก่อนว่า ถ้าเรื่องมันจบแค่นี้ ซีก็คงไม่หยิบมาเล่าสู่กันฟังทั้งทางบล็อก dailygizmo.tv รายการ Weekly C3 ตลอดจนรายการน้องใหม่อย่าง Daily IT  หรอกค่ะ กลับมาว่ากันต่อ ประเด็นที่เกียวข้องกับผู้ใช้อย่างเราโดยตรงก็คือ ช่องโหว่ Heartbleed บน OpenSSL เปิดโอกาสให้แฮคเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคล (พาสเวิร์ด บัตรเครดิต ข้อมูลส่วนตัว อีเมล์ ฯลฯ) ถ้าคุณเคยให้ข้อมูลเหล่านี้กับเว็บไซต์ชอปปิ้งที่ใช้เซิร์ฟเวอร์ที่กำลังใช้ OpenSSL ที่มีข้อผิดพลาดอยู่ เพราะมันเท่ากับคุณมีช่องโหว่ของระบบรักษาความปลอดไปด้วยเหมือนกัน แฮคเกอร์ไม่ได้เจาะที่เครื่องคอมพ์ (client) ของคุณ แต่เจาะข้อมูลบนเซิร์ฟเวอร์ที่เก็บข้อมูลของคุณเอาไว้ เมื่อแฮคเกอร์สามารถร้องขอข้อมูลของคุณบนเซิร์ฟเวอร์พวกนี้ได้ ที่เหลือก็แค่นำข้อมูลของคุณไปใช้ทำธุรกรรมต่างๆ ได้นั่นเอง (เหมือนขโมยข้อมูลของคุณไปนั่นแหละ แต่แทนที่จะขโมยจากคุณโดยตรง ก็ไปขโมยเอาจากเซิร์ฟเวอร์ที่คุณเคยฝากข้อมูลไว้แทน) เข้าใจตรงกันนะ 😀

heartbleed-openssl-bug-3

เมื่อเป็นเช่นนี้ แล้วผู้ใช้อย่างเราจะดูแลตัวเองอย่างไรให้ปลอดภัย คำตอบมีสองข้อคือ ข้อแรก เซิร์ฟเวอร์ที่คุณเข้าไปใช้บริการต้องได้รับการอัพเดท เพื่อแก้ไขช่องโหว่ Heartbleed บน OpenSSL ก่อน ซึ่งข้อนี้ไม่สามารถทำเองได้ ข้อสอง เมื่อคุณทราบว่า เว็บไซต์อีคอมเมิร์ซ หรืออีแบงกิ้งที่ใช้ได้มีการอัพเดท OpenSSL ให้มีความปลอดภัยไร้บั๊กดังกล่าวแล้ว ให้เพื่อนๆ เปลี่ยนพาสเวิร์ หรือรหัสผ่านที่ใช้กับทางเว็บไซต์ทันที!!!  ตัวอย่างเว็บไซต์ที่ใช้ OpenSSL ที่มีช่องโหว่ Heartbleed ในการเข้ารหัสข้อมูลกับผู้ใช้ก็เช่น facebook, Google, YouTube, Instagram, Yahoo, Tumblr เป็นต้น สำหรับเพื่อนๆ ที่อยากตรวจสอบว่า เว็บไซต์ที่ใช้บริการอยู่นั้น มี Heartbleed รูรั่วหัวใจเลือด หรือไม่ ก็สามารถเข้าไปทดสอบได้ที่ https://lastpass.com/heartbleed/ หรือ https://filippo.io/Heartbleed/ ทราบแล้วเปลี่ยน 😛